在三网业务融合大潮下,双向网络改造为运营商向综合信息服务商转型提供了绝佳机会。双向网络不仅使VOD、宽带接入等几乎所有数据、通信及娱乐业务成为可能;同时可以为增值业务,如广告、支付、股票、游戏等服务的开展提供便利通道。双向网络和新型增值业务将为广电运营商带来生存和发展空间。
随着技术的成熟和成本的下降,各地广电部门对网络的双向改造正逐步展开。中国的数字电视已经迈入双向网改的快速发展阶段,双向互动业务将成为广电“后整转”时代主要收入来源之一,成为推动广电经济增长的新晋力量。
然而,随着双向网改和新业务的开展,广电也对网络安全提出了全新的要求。
真正的广电双向网络安全平台应具备四大功能:
1.建立可信网络,对用户进行统一的身份认证管理
业务的开展在逻辑上是用户和运营商之间的交互,所以安全问题是由网络使用者主导的问题,业务的安全应首先建立在网络中主体的可信性之上。目前互联网的安全问题泛滥,其主要成因在于网络用户的匿名性。由于互联网自身的开放性和透明性,加上网络使用者众多,互联网这样一个虚拟社会缺乏有效的奖惩措施,并且很难对各种行为进行溯源。广电网络作为国家媒体发布和传播的门楣,自建立之初国家就对其保持了极高的监管和控制力度。从用户的收视控制到终端的可管可控,广电运营商能够对用户进行在册实名性的统筹管理,这也是国情赋予广电的一个特色优势。
安全平台应基于广电实名性的用户管理机制,建立一套信任管理体系,将网络主体纳入到体系中;对用户进行统一的身份认证管理,使得业务主体能够对交互对象进行身份的认证;以此形成一张可信网络,为业务的开展提供基础安全保障,并为广电双向网络构建全方位的安全框架。
2.业务接入管理,保障业务可控接入和进程安全
业务的进行过程在形式上是终端与前端的通信,所以在业务进行时,业务接入的安全是保证业务安全的关键一步。三网融合和双向互动网络给广电带来了宽阔的业务拓展空间。随着海量优质业务的涌入,业务将面临越来越多的安全威胁,包括木马、网络欺骗、钓鱼网站等。其原因在于网络的信息不对称性,所以要保证业务的安全进行,安全平台就需要在业务接入时,对接入进行安全管理,实现新业务接入的可管可控。
基于统一构建的可信网络安全架构,安全平台应具备业务接入管理机制:在业务接入时,能够对双方主体的业务身份、业务权限、业务内容和业务行为进行审核;在业务主体之间,建立安全链接;并能够对业务进行区分,为不同业务提供个性化的安全服务,对新业务与互联网接入逻辑隔离,杜绝安全问题渗透,从而全面保障业务接入和进程的安全。
3.信息数据安全,保护用户私密信息
业务涉及到用户信息交换。特别金融支付,游戏类业务,往往涉及用户的帐号,密码等敏感信息。对信息数据的保护一直是网络安全的重点内容。
信息数据安全主要涉及信息的以下几个方面:完整性,即在信息传输、交换、存储和处理过程中,保持信息的原样性,防止信息被篡改;保密性,即杜绝有用信息泄漏给非授权个人或实体;可用性,指保证信息可被授权主体正确访问;不可否认性,即通信各方在信息交互过程中不能否认或抵赖真实身份;可控性,即能够有效控制信息的传播及具体内容。安全平台应能够从上述五方面全面保护信息数据安全。
4.终端安全,保障终端不受安全入侵
许多用户的重要私密文件都存储在终端,用户终端一直是安全中非常重要的环节。目前,互联网更多地将网络安全应用推向终端,而其自身的安全保护能力有限。由于广电终端能力不能独立支撑安全防护软件,所以安全平台的应充分考虑终端能力,避免互联网安全依赖终端的模式,将安全应用压力合理均匀分布,并形成终端与链路、前端的统一安全联动。这样,安全平台仅需要保证终端用户关键信息实施,就能够在终端方面保证业务的安全进行。
综上所述,广电双向网络安全平台是一个以可信网络为安全框架,并在此之上提供面向业务需求的安全服务,为数字电视综合业务系统提供全方位的安全支撑。
实现广电双向网络安全的有效解决方案
虽然互联网的安全解决方案不能够直接应用于广电环境中,但其中应用的、成熟的、已经过实际检验的信息安全技术可以被用到广电双向网络安全平台上来实现上面模型中的安全需求。
1.以PKI体系为安全框架
公共密钥体系(PKI, Public Key Infrastructure)是目前应用广泛的一种信息安全技术,通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系,主要应用于电子邮件、WEB安全、电子商务和金融业务等对安全性要求很高的领域。PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。
安全平台应以PKI体系为安全基础,构建一张包括用户终端,前端和第三方的可信网络,并利用公共密钥算法的特点,建立一套证书的发放、管理和使用体和网络主体间的信任机制,使平台能够完成对用户的身份认证和统筹管理,为业务的安全开展提供基础保障。平台引入CA中心之后,通过权威第三方认证,使用户能够更加方便安全地获得银行等金融机构的认可,保障业务的安全进行。并且,可信网络可以作为安全平台的框架,支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性等安全功能。
2.采用SSL技术保障业务接入的可管可控
SSL(Secure Sockets Layer 安全套接层)技术是为网络通信提供安全及数据完整性的一种安全通信协议,它在传输层对网络连接进行加密,提供使用 TCP/IP 的通信应用程序间的隐私与完整性。SSL技术灵活地采用对称加密和非对称加密技术,不仅保证了连接和通信的安全,而且能够提高数据传输的响应效率,并且能够灵活地应用于多个领域,如HTTP协议、VPN和金融业务等。
安全平台应该在安全框架的基础上采用SSL技术实现适用于平台需要的安全连接技术。这样,安全连接技术能够使通信双方对彼此身份进行认证,确保数据发送到正确的客户端和服务器;同时对加密数据以防止数据中途被窃取;并且能够维护数据的完整性,确保数据在传输过程中不被改变,保障信息数据的安全性。同时,基于公共密钥体系,安全连接技术能够对用户的业务证书进行发放和管理,并以此完成业务接入审核,内容过滤和业务逻辑分离。平台在终端与前端之间形成一道SSL网关,融入了安全策略协商技术,能够适应不同级别的安全需求,提供平台性的安全连接服务,全面保障业务接入和进程安全。
3.灵活的信息安全技术,全面保障信息数据安全
在信息数据安全方面,安全平台应采用对称和非对称加密相融合的先进安全体系结构,支持预加密和实时加密服务,并针对不同的安全需求提供安全方案:采用加密、HMAC、综合校验等技术保证信息的完整性;采用完善的认证和鉴权以及安全连接技术保证数据的保密性;采用数字签名保证信息的不可否认性和抗抵赖性;采用基于PKI体系的CA中心保证了信息的可控性。同时,平台可以针对用户私密数据,提供个人数据服务器,为终端提供个性化数据服务,全面保障信息数据安全。
4. 终端安全模块,完善体系安全
在终端防入侵方面,安全平台可以针对机顶盒提供专业的终端安全模块,以提供身份认证、SSL建立、口令输入安全等的密码和证书的功能支持,同时配合前端服务器完成安全功能。针对,用户在终端的密钥信息安全,模块可以采用目前在终端安全方面较为有效和广泛的技术为OTP(一次性编程)防篡改硬件技术和基于硬件的可信任根,保证终端存储不受侵犯。
面对全新的广电网络安全需求,广电双向网络安全平台应该能够为数字电视综合业务系统提供全方位的安全支撑和信息共享服务,为广电运营商双向业务的顺利开展提供坚实基础和可靠保障,成为广电双向网络的安全卫士,帮助运营商在三网竞争中赢得先机。
(来源:中广互联)
随着技术的成熟和成本的下降,各地广电部门对网络的双向改造正逐步展开。中国的数字电视已经迈入双向网改的快速发展阶段,双向互动业务将成为广电“后整转”时代主要收入来源之一,成为推动广电经济增长的新晋力量。
然而,随着双向网改和新业务的开展,广电也对网络安全提出了全新的要求。
真正的广电双向网络安全平台应具备四大功能:
1.建立可信网络,对用户进行统一的身份认证管理
业务的开展在逻辑上是用户和运营商之间的交互,所以安全问题是由网络使用者主导的问题,业务的安全应首先建立在网络中主体的可信性之上。目前互联网的安全问题泛滥,其主要成因在于网络用户的匿名性。由于互联网自身的开放性和透明性,加上网络使用者众多,互联网这样一个虚拟社会缺乏有效的奖惩措施,并且很难对各种行为进行溯源。广电网络作为国家媒体发布和传播的门楣,自建立之初国家就对其保持了极高的监管和控制力度。从用户的收视控制到终端的可管可控,广电运营商能够对用户进行在册实名性的统筹管理,这也是国情赋予广电的一个特色优势。
安全平台应基于广电实名性的用户管理机制,建立一套信任管理体系,将网络主体纳入到体系中;对用户进行统一的身份认证管理,使得业务主体能够对交互对象进行身份的认证;以此形成一张可信网络,为业务的开展提供基础安全保障,并为广电双向网络构建全方位的安全框架。
2.业务接入管理,保障业务可控接入和进程安全
业务的进行过程在形式上是终端与前端的通信,所以在业务进行时,业务接入的安全是保证业务安全的关键一步。三网融合和双向互动网络给广电带来了宽阔的业务拓展空间。随着海量优质业务的涌入,业务将面临越来越多的安全威胁,包括木马、网络欺骗、钓鱼网站等。其原因在于网络的信息不对称性,所以要保证业务的安全进行,安全平台就需要在业务接入时,对接入进行安全管理,实现新业务接入的可管可控。
基于统一构建的可信网络安全架构,安全平台应具备业务接入管理机制:在业务接入时,能够对双方主体的业务身份、业务权限、业务内容和业务行为进行审核;在业务主体之间,建立安全链接;并能够对业务进行区分,为不同业务提供个性化的安全服务,对新业务与互联网接入逻辑隔离,杜绝安全问题渗透,从而全面保障业务接入和进程的安全。
3.信息数据安全,保护用户私密信息
业务涉及到用户信息交换。特别金融支付,游戏类业务,往往涉及用户的帐号,密码等敏感信息。对信息数据的保护一直是网络安全的重点内容。
信息数据安全主要涉及信息的以下几个方面:完整性,即在信息传输、交换、存储和处理过程中,保持信息的原样性,防止信息被篡改;保密性,即杜绝有用信息泄漏给非授权个人或实体;可用性,指保证信息可被授权主体正确访问;不可否认性,即通信各方在信息交互过程中不能否认或抵赖真实身份;可控性,即能够有效控制信息的传播及具体内容。安全平台应能够从上述五方面全面保护信息数据安全。
4.终端安全,保障终端不受安全入侵
许多用户的重要私密文件都存储在终端,用户终端一直是安全中非常重要的环节。目前,互联网更多地将网络安全应用推向终端,而其自身的安全保护能力有限。由于广电终端能力不能独立支撑安全防护软件,所以安全平台的应充分考虑终端能力,避免互联网安全依赖终端的模式,将安全应用压力合理均匀分布,并形成终端与链路、前端的统一安全联动。这样,安全平台仅需要保证终端用户关键信息实施,就能够在终端方面保证业务的安全进行。
综上所述,广电双向网络安全平台是一个以可信网络为安全框架,并在此之上提供面向业务需求的安全服务,为数字电视综合业务系统提供全方位的安全支撑。
实现广电双向网络安全的有效解决方案
虽然互联网的安全解决方案不能够直接应用于广电环境中,但其中应用的、成熟的、已经过实际检验的信息安全技术可以被用到广电双向网络安全平台上来实现上面模型中的安全需求。
1.以PKI体系为安全框架
公共密钥体系(PKI, Public Key Infrastructure)是目前应用广泛的一种信息安全技术,通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系,主要应用于电子邮件、WEB安全、电子商务和金融业务等对安全性要求很高的领域。PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。
安全平台应以PKI体系为安全基础,构建一张包括用户终端,前端和第三方的可信网络,并利用公共密钥算法的特点,建立一套证书的发放、管理和使用体和网络主体间的信任机制,使平台能够完成对用户的身份认证和统筹管理,为业务的安全开展提供基础保障。平台引入CA中心之后,通过权威第三方认证,使用户能够更加方便安全地获得银行等金融机构的认可,保障业务的安全进行。并且,可信网络可以作为安全平台的框架,支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性等安全功能。
2.采用SSL技术保障业务接入的可管可控
SSL(Secure Sockets Layer 安全套接层)技术是为网络通信提供安全及数据完整性的一种安全通信协议,它在传输层对网络连接进行加密,提供使用 TCP/IP 的通信应用程序间的隐私与完整性。SSL技术灵活地采用对称加密和非对称加密技术,不仅保证了连接和通信的安全,而且能够提高数据传输的响应效率,并且能够灵活地应用于多个领域,如HTTP协议、VPN和金融业务等。
安全平台应该在安全框架的基础上采用SSL技术实现适用于平台需要的安全连接技术。这样,安全连接技术能够使通信双方对彼此身份进行认证,确保数据发送到正确的客户端和服务器;同时对加密数据以防止数据中途被窃取;并且能够维护数据的完整性,确保数据在传输过程中不被改变,保障信息数据的安全性。同时,基于公共密钥体系,安全连接技术能够对用户的业务证书进行发放和管理,并以此完成业务接入审核,内容过滤和业务逻辑分离。平台在终端与前端之间形成一道SSL网关,融入了安全策略协商技术,能够适应不同级别的安全需求,提供平台性的安全连接服务,全面保障业务接入和进程安全。
3.灵活的信息安全技术,全面保障信息数据安全
在信息数据安全方面,安全平台应采用对称和非对称加密相融合的先进安全体系结构,支持预加密和实时加密服务,并针对不同的安全需求提供安全方案:采用加密、HMAC、综合校验等技术保证信息的完整性;采用完善的认证和鉴权以及安全连接技术保证数据的保密性;采用数字签名保证信息的不可否认性和抗抵赖性;采用基于PKI体系的CA中心保证了信息的可控性。同时,平台可以针对用户私密数据,提供个人数据服务器,为终端提供个性化数据服务,全面保障信息数据安全。
4. 终端安全模块,完善体系安全
在终端防入侵方面,安全平台可以针对机顶盒提供专业的终端安全模块,以提供身份认证、SSL建立、口令输入安全等的密码和证书的功能支持,同时配合前端服务器完成安全功能。针对,用户在终端的密钥信息安全,模块可以采用目前在终端安全方面较为有效和广泛的技术为OTP(一次性编程)防篡改硬件技术和基于硬件的可信任根,保证终端存储不受侵犯。
面对全新的广电网络安全需求,广电双向网络安全平台应该能够为数字电视综合业务系统提供全方位的安全支撑和信息共享服务,为广电运营商双向业务的顺利开展提供坚实基础和可靠保障,成为广电双向网络的安全卫士,帮助运营商在三网竞争中赢得先机。
(来源:中广互联)
